在谷歌上看个图片就中招?!黑客将恶意脚本写入图片资料中

安全公司Sucuri揭露,他们发现了一张Pac-Man.jpg图像中的EXIF资料存在恶意软件,而这张图片被托管在Google的服务器上,Sucuri提到,过去他们也看过类似的手法,但是恶意软件通常被存在Pastebin和GitHub这类文字型的托管服务上,而要发现文字档案中的恶意代码是比较容易的,图片中的恶意意图受到良好的掩护,除非特别检查元资料,否则难以发现。

Sucuri找到了一个偷取PayPal安全权杖的恶意脚本,这个脚本读取了一张托管在Google服务器图片的EXIF资料,这张Pac-Man的图片来源不明,可能是黑客以Google帐户上传。恶意代码隐藏在图片的UserComment部分,这串资料以Base64编码,经过解码后,Sucuri认为这些是一个脚本,可以用来上传预先定义的Web shell、任意档案、置换网站页面,并且透过电子邮件寄送被攻击成功的网站位置给黑客。

Sucuri提到,在过去的案例,利用图片的EXIF资料来隐藏恶意软件,很少会被安全程序扫描,因此黑客们通常都会瞄准那些可靠且受信任的服务器,在上面托管这些恶意脚本来源,以便可以长久地从任何受骇网站下载这些脚本。之前的例子通常都是在Pastebin和GitHub上被发现,不过文字文件反而容易被发现。

图片是很好的恶意代码载体,由于这些图片本身就是真实的图片,恶意代码被图片原本的功能掩护,除非特别去查看这些图片的元资料,并且以特定方式解码,否则完全无法发现其中隐藏了恶意意图,另外,Sucuri表示,要将googleusercontent.com上有问题的属性,回报给Google非常困难,虽然Google有许多工具可以删除属性,但是却没有一个适当的方法,可以回报图片中有问题的元资料,多数他们的工具都是要求侵权属性的原始贴文连结、页面或是评论等。

上述这个Pac-Man图片并非一个公开的属性,也无法得知是哪一个用户建立的,也无从得知黑客透过Google的哪一个服务,将这个恶意图片上传到googleusercontent.com上,Sucuri认为在Google服务器上有恶意代码的图片,可能会比Pastebin等类似服务上的文字档案存活得更久。

发表评论
留言与评论(共有 0 条评论)
   
验证码:

相关文章

'); })();